IPv6的注意事项 AWS Client VPN

当前，客户端VPN服务不支持通过VPN隧道路由IPv6流量。但是，在某些情况下，应将IPv6流量引入VPN隧道以防止IPv6泄漏。IPv6当IPv4和IPv6都启用并连接到VPN，但VPN未将IPv6流量路由到其隧道时，可能会发生泄漏。在这种情况下，当连接到IPv6已启用的目的地时，您实际上仍在使用您提供IPv6的地址进行连接ISP。这会泄露你的真实IPv6地址。以下说明说明了如何将IPv6流量引入VPN隧道。

应将以下IPv6相关指令添加到您的客户端VPN配置文件中，以防止IPv6泄漏：

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

举个例子：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

在本示例中，ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1将本地隧道设备IPv6地址设置为fd15:53b6:dead::2，将远程VPN端点IPv6地址设置为fd15:53b6:dead::1。

下一个命令route-ipv6 2000::/4会将IPv6地址从到路由2000:0000:0000:0000:0000:0000:0000:00002fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff到VPN连接中。

企业应配置 ifconfig-ipv6 本身的两个参数，并且可以使用 100::/64（从 0100:0000:0000:0000:0000:0000:0000:0000 到 0100:0000:0000:0000:ffff:ffff:ffff:ffff）或 fc00::/7（从 fc00:0000:0000:0000:0000:0000:0000:0000 到 fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)中的地址。100::/64 是仅丢弃的地址块，fc00::/7 为唯一本地。

另一个示例是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

在此示例中，配置会将当前分配的所有IPv6流量路由到VPN连接中。

验证

您的组织可能会有自己的测试。基本验证是设置全隧道VPN连接，然后使用该IPv6地址对IPv6服务器运行 ping6。服务器的地IPv6址应在route-ipv6命令指定的范围内。此 ping 测试将失败。但是，如果将来向客户VPN服务添加IPv6支持，这种情况可能会改变。如果 ping 成功，并且您能够在以全通道模式连接时访问公共站点，则可能需要执行进一步的故障排除。还有一些公开可用的工具。